| Summary: | Pilvipohjaisista palveluista on tullut erittäin suosittuja yritysten kesken. Pilvi
tuo mukanaan monia hyötyjä ja mahdollisuuksia yrityksille, mutta se tuo myös
epävarmuutta ja haasteita datan turvallisuuteen ja yksityisyyteen. Henkilötietojen yksityisyydestä on tullut tarkempaa ja määräykset ja lainsäädännöt kuten
EU:n yleinen tietosuoja-asetus (eng. EU General Data Protection Regulation,
GDPR) ovat puuttuneet siihen miten yritysten täytyy käsitellä asiakkaidensa
henkilötietoja siten, että yksityisyys säilyy. Tämä pro gradu -tutkielma tutkii
mitä muutoksia pilviympäristöön siirtyminen aiheuttaa verrattuna perinteisiin
tietojärjestelmiin. Tutkimus keskittyy kontrollin muutokseen, jonka pilvi aiheuttaa ja kuinka organisaatiot voivat säilyttää kontrollia pilvessä. Tämä tutkimus myös pyrkii selventämään EU:n yleisen tietosuoja-asetuksen tavoitteita ja
mitä ne tarkoittavat yrityksille, jotka käyttävät tai aikovat ottaa pilven käyttöön.
Pilvi eroaa perinteisistä tietojärjestelmistä monin tavoin, mutta jo olemassa olevia käytännöllisiä tietoturvamekanismeja voidaan hyödyntää tietoturvan ja yksityisyyden turvaamiseen pilvessä jos organisaatiot tietävät mitä ovat tekemässä. Kontrollin määrä järjestelmiin vähenee, kun siirrytään pilveen, mutta kontrollin vähenemistä voidaan pitää kurissa yritysten välisillä sopimuksilla ja oikeanlaisilla tietoturvamekanismeilla. Viranomaisten ohjeistukset yrityksille tarvitsevat päivitystä, jotta ne kattaisivat myös tarvittavat toimet, joita organisaatioiden tulee tehdä, jotta varmistutaan siitä ettei lainsäädännön noudattamisesta
tule liian monimutkaista. Pilvi on avoinna internetiin, joten sen tietoturva vaatii
uudenlaista ajattelua. Varotoimena organisaatioiden tulee panostaa yleiseen
tietoisuuteen pilviympäristöistä kaikille työntekijöille, joka voi yksinkertaistaa
pilvessä hyödynnettävien tietoturvamekanismien suunnittelua. Tietoisuus organisaation sisällä voi myös pienentää tietoturvan ja yksityisyyden riskiä, jossa
arkaluonteista dataa tallennetaan ja käsitellään pilvipalvelussa tai pilvijärjestelmässä, jonka tietoturva ei ole riittävällä tasolla.
Cloud based services are extremely popular among organization today. Cloud
brings many benefits and opportunities for companies, but it also brings uncertainty and challenges of data security and privacy. The privacy of personal data
has become more precise and regulations and legislations like EU General Data
Protection Regulation (GDPR) has intervened how companies must process
customers personal data so that the privacy remains. This Master’s Thesis explores what changes moving to a cloud computing environment causes compared to a traditional information system. The research focuses on the change of
control cloud causes and how organizations can preserve the control in the
cloud. This research also aims to clarify the goals of the GDPR and what it
means to a companies that are using or intending to adopt a cloud. Cloud differs from a traditional on-premise information systems (IS) in many ways, but
the existing practical security mechanisms can be utilized to ensure security and
privacy in the cloud if organizations know what they are doing. The amount of
control over the system decreases when moving to a cloud but this can be mitigated by contracts and agreements and proper security mechanisms. The official guidelines organizations get need to be updated to cover the tangible actions organizations need to take to ensure that following the regulations does not
become too complex. Cloud is open to the internet and it requires a new kind of
thinking when it comes to security. As a precaution, organizations need to invest in improving the general awareness of cloud computing among the employees that will simplify the designing of the security mechanisms that are utilized with the cloud. The awareness among organization can mitigate the security and privacy risk of sensitive data being stored and processed in cloud service or systems with insufficient security level.
|
|---|